配置托管主机

WEB+FTP+Email服务器安全配置www.
alixixi.
com更多WEB技术资讯欢迎访问阿里西西WEB开发网站:http://www.
alixixi.
comAlixixiDevelopmentTeam.
QQ:178010108MSN:Alixixi@MSN.
COMEmail:Alixixi@Alixixi.
com第1页共51页WEB+FTP+Email服务器安全配置手册作者:阿里西西2006-8-11WEB+FTP+Email服务器安全配置www.
alixixi.
com更多WEB技术资讯欢迎访问阿里西西WEB开发网站:http://www.
alixixi.
comAlixixiDevelopmentTeam.
QQ:178010108MSN:Alixixi@MSN.
COMEmail:Alixixi@Alixixi.
com第2页共51页目录第一章:硬件环境第二章:软件环境第三章:系统端口安全配置第四章:系统帐户及安全策略配置第五章:IIS和WEB站点文件夹权限配置第六章:FTP服务器安全权限配置第七章:Email服务器安全权限配置第八章:远程管理软件配置第九章:其它安全配置建议第十章:篇后语WEB+FTP+Email服务器安全配置www.
alixixi.
com更多WEB技术资讯欢迎访问阿里西西WEB开发网站:http://www.
alixixi.
comAlixixiDevelopmentTeam.
QQ:178010108MSN:Alixixi@MSN.
COMEmail:Alixixi@Alixixi.
com第3页共51页一、硬件环境服务器采用1U规格的机架式托管主机,大概配置为Nocona2.
8G/1GDDR2/160G*2SATA硬盘/双网卡/光驱软驱/3*USB2.
0.
二、软件环境操作系统:WindowsServer2003EnterpriseEditionsp1WEB系统:Win操作系统自带IIS6,支持.
NET邮件系统:MDaemon8.
02英文版FTP服务器系统:Serv-U6.
0.
2汉化版防火墙:BlackICEServerProtection,中文名:黑冰杀毒软件:NOD322.
5远程管理控件:SymantecpcAnywhere11.
5+Win系统自带的MSTSC数据库:MSSQL2000企业版相关支持组件:JMail4.
4专业版,带POP3接口;ASPJPEG图片组件相关软件:X-SCAN安全检测扫描软件;ACCESS;EditPlus[相关说明]*考虑服务器数据安全,把160G*2硬盘做成了阵列,实际可用容易也就只有一百多G了.
*硬盘分区均为NTFS分区;NTFS比FAT分区多了安全控制功能,可以对不同的文件夹设置不同的访问权限,安全性增强.
操作系统安装完后,第一时间安装NOD32杀毒软件,装完后在线更新病毒库,接着在线Update操作系统安全补丁.
*安装完系统更新后,运行X-SCAN进行安全扫描,扫描完后查看安全报告,根据安全报告做出相应的安全策略调整即可.
*出于安全考虑把MSTSC远程桌面的默认端口进行更改.
WEB+FTP+Email服务器安全配置www.
alixixi.
com更多WEB技术资讯欢迎访问阿里西西WEB开发网站:http://www.
alixixi.
comAlixixiDevelopmentTeam.
QQ:178010108MSN:Alixixi@MSN.
COMEmail:Alixixi@Alixixi.
com第4页共51页三、系统端口安全配置下面先是介绍关于端口的一些基础知识,主要是便于我们下一步的安全配置打下基础,如果你对端口方面已经有较深了解可以略过这一步.
端口是计算机和外部网络相连的逻辑接口,也是计算机的第一道屏障,端口配置正确与否直接影响到主机的安全,一般来说,仅打开你需要使用的端口会比较安全,配置的方法是在网卡属性-TCP/IP-高级-选项-TCP/IP筛选中启用TCP/IP筛选.
下面先介绍一下端口的基础知识.
在网络技术中,端口(Port)大致有两种意思:一是物理意义上的端口,比如,ADSLModem、集线器、交换机、路由器用于连接其他网络设备的接口,如RJ-45端口、SC端口等等.
二是逻辑意义上的端口,一般是指TCP/IP协议中的端口,端口号的范围从0到65535,比如用于浏览网页服务的80端口,用于FTP服务的21端口等等.
(一)按端口号分布划分:(1)知名端口(Well-KnownPorts)知名端口即众所周知的端口号,范围从0到1023,这些端口号一般固定分配给一些服务.
比如21端口分配给FTP服务,25端口分配给SMTP(简单邮件传输协议)服务,80端口分配给HTTP服务,135端口分配给RPC(远程过程调用)服务等等.
(2)动态端口(DynamicPorts)动态端口的范围从1024到65535,这些端口号一般不固定分配给某个服务,也就是说许多服务都可以使用这些端口.
只要运行的程序向系统提出访问网络的申请,那么系统就可以从这些端口号中分配一个供该程序使用.
比如1024端口就是分配给第一个向系统发出申请的程序.
在关闭程序进程后,就会释放所占用的端口号.
不过,动态端口也常常被病毒木马程序所利用,如冰河默认连接端口是7626、WAY2.
4是WEB+FTP+Email服务器安全配置www.
alixixi.
com更多WEB技术资讯欢迎访问阿里西西WEB开发网站:http://www.
alixixi.
comAlixixiDevelopmentTeam.
QQ:178010108MSN:Alixixi@MSN.
COMEmail:Alixixi@Alixixi.
com第5页共51页8011、Netspy3.
0是7306、YAI病毒是1024等等.
(二)按协议类型划分:可以分为TCP、UDP、IP和ICMP(Internet控制消息协议)等端口.
下面主要介绍TCP和UDP端口.
(1)TCP端口TCP端口,即传输控制协议端口,需要在客户端和服务器之间建立连接,这样可以提供可靠的数据传输.
常见的包括FTP服务的21端口,Telnet服务的23端口,SMTP服务的25端口,以及HTTP服务的80端口等等.
(2)UDP端口UDP端口,即用户数据包协议端口,无需在客户端和服务器之间建立连接,安全性得不到保障.
常见的有DNS服务的53端口,SNMP(简单网络管理协议)服务的161端口,QQ使用的8000和4000端口等等.
介绍完了有关端口的基础知识,下面我们就开始进行服务器的端口安全配置.

在一般的WEB+Email服务器上,推荐同时使用PcanyWhere和终端服务进行远程控制管理,基于安全考虑把终端服务3389端口修改成6868端口,方法如下:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\Wds\Repwd\Tds\Tcp,找到PortNumber项,双击选择十进制,输入你要改成的端口即可,这里我们输入6868.
再找到键值:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations,在右侧窗口找到PortNumber并按上面的方法输入6868,设置成新的端口就可以了.
这样,在用MSTSC访问远程桌面时,IP或网址后加上:6868即端口号就可以了.
如图(1):WEB+FTP+Email服务器安全配置www.
alixixi.
com更多WEB技术资讯欢迎访问阿里西西WEB开发网站:http://www.
alixixi.
comAlixixiDevelopmentTeam.
QQ:178010108MSN:Alixixi@MSN.
COMEmail:Alixixi@Alixixi.
com第6页共51页图(1):远程桌面连接端口接着根据要开放的服务,去设置TCP/IP筛选.
要查看端口使用状况,可以使用Netstat在命令行状态下查看,依次点击"开始→运行",键入"cmd"并回车,打开命令提示符窗口.
在命令提示符状态下键入"netstat-a-n",按下回车键后就可以看到以数字形式显示的TCP和UDP连接的端口号及状态.
我们根据服务器上端口的使用情况在TCP/IP筛选设置我们需要开放的端口,右击网上邻居属性-->右击本地连接属性-->(双击TCP/IP)-->高级-->选项-->属性启用TCP/IP筛选,如图(2):图(2):本地连接属性1WEB+FTP+Email服务器安全配置www.
alixixi.
com更多WEB技术资讯欢迎访问阿里西西WEB开发网站:http://www.
alixixi.
comAlixixiDevelopmentTeam.
QQ:178010108MSN:Alixixi@MSN.
COMEmail:Alixixi@Alixixi.
com第7页共51页图(3):本地连接属性2图(4):本地连接属性3在TCP端口筛选只允许21,25,110,80,1433,3000,5631,6868,8735,10001,10002,10003,10004,10005等相关必须使用的端口(请根据你的实际情况进行设定);TCP/IP端口里面的都是几个常有的知名端口,10001-10005是设置Serv-U的PASV模式使用的端口,3000是MDaemon默认的WEB登陆端口,6868图(5):TCP端口筛选是自定义修改的MSTSC远程桌面端口,当然也可以使用别的.
IP协议和UDP端口根据您的需要做出相应配置,本人未仔细研究过,请根据你的实际应用进行筛选.
接着,我们要在本地连接属性里面,卸载所有的其他协议,只留下Internet协议(TCP/IP),WEB+FTP+Email服务器安全配置www.
alixixi.
com更多WEB技术资讯欢迎访问阿里西西WEB开发网站:http://www.
alixixi.
comAlixixiDevelopmentTeam.
QQ:178010108MSN:Alixixi@MSN.
COMEmail:Alixixi@Alixixi.
com第8页共51页把默认的共享和打印机卸载掉.
如图(6):图(6):删除共享和打印机共享然后,再双击Internet协议(TCP/IP)进入高级选项窗口,选择WINS选项卡,选中禁止TCP/IP上的NetBIOS项,可有效防止他人从网络NetBIOS协议获取计算机相关信息.
如图(7):图(7):禁用NetBIOSWEB+FTP+Email服务器安全配置www.
alixixi.
com更多WEB技术资讯欢迎访问阿里西西WEB开发网站:http://www.
alixixi.
comAlixixiDevelopmentTeam.
QQ:178010108MSN:Alixixi@MSN.
COMEmail:Alixixi@Alixixi.
com第9页共51页四、系统帐户及安全策略配置右击桌面我的电脑--->管理--->本地用户与组,进行系统用户帐户管理,如图(8):图(8):本地用户与组把administrator帐号改成较为复杂点的名称,例如AliStudioAdministrator,并赋予强类型组合密码(数字+字母+符号组合)如Pass1R3&6gG,口令必须定期更改(建议至少两周该一次),且最好记在心里,除此以外不要在任何地方做记录;取消所有除管理员root外所有用户属性中的远程控制->启用远程控制以及终端服务配置文件->允许登陆到终端服务器.
另外,经常检查管理工具的事件查看器,如果在日志审核中发现某个帐号被连续尝试,则必须立刻更改此帐号和口令;接着禁用或更名Guest用户帐号,并将它从Guest组删掉.
同时可以新建一个没有任何权限的Administrator用户并赋予长串密码,用以迷惑试图穷举破解管理员密码的菜鸟黑客:).
除过Administrator外,有必要再增加一个属于管理员组的帐号;最好再新增一个管理员组的帐号,一方面防止忘记其中一个帐号口令,还能有个备用帐号;同时,如果一旦黑客攻破其一个管理帐号并更改口令,我们还有机会重新在短期内取得控制权做出相应处理.
接着配置相关的安全策略,打开管理工具中的本地安全策略设置的安全选项,设置登陆时不WEB+FTP+Email服务器安全配置www.
alixixi.
com更多WEB技术资讯欢迎访问阿里西西WEB开发网站:http://www.
alixixi.
comAlixixiDevelopmentTeam.
QQ:178010108MSN:Alixixi@MSN.
COMEmail:Alixixi@Alixixi.
com第10页共51页显示上次登陆帐号,如图(9):图(9):本地安全策略在帐户锁定策略中将锁定阈值设置为三次无效登陆即锁定,锁定时长为30分钟.
如图(10):图(10):帐户锁定策略WEB+FTP+Email服务器安全配置www.
alixixi.
com更多WEB技术资讯欢迎访问阿里西西WEB开发网站:http://www.
alixixi.
comAlixixiDevelopmentTeam.
QQ:178010108MSN:Alixixi@MSN.
COMEmail:Alixixi@Alixixi.
com第11页共51页锁定时长为30分钟,如图(11):图(11):锁定时长打开本地安全策略->审核策略中打开相应的审核,推荐的审核是:账户管理成功失败;登录事件成功失败;对象访问失败;策略更改成功失败;特权使用失败;系统事件成功失败;目录服务访问失败;账户登录事件成功失败.
如图(12):图(12):审核策略WEB+FTP+Email服务器安全配置www.
alixixi.
com更多WEB技术资讯欢迎访问阿里西西WEB开发网站:http://www.
alixixi.
comAlixixiDevelopmentTeam.
QQ:178010108MSN:Alixixi@MSN.
COMEmail:Alixixi@Alixixi.
com第12页共51页接着,删除系统默认的共享,修改注册表的方法:运行Regedit,然后修改注册表在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters下增加一个键:Name:AutoShareServer;Type:REG_DWORD;value:0重新启动后默认的磁盘分区共享将会去掉,但IPC共享仍存在,需每次重启后手工删除.
接着再通过修改注册表,禁止IPC空连接.
黑客通常可以利用netuse命令建立空连接入侵服务器,还有netview,nbtstat这些都是基于空连接的,禁止空连接就能较好的杜绝这一类安全隐患发生.
我们打开注册表,找到以下项:Local_Machine/System/CurrentControlSet/Control/LSA-RestrictAnonymous把这个值改成"1"即可.
最后,我们还要禁用不必要的系统服务,提高安全性和系统效率.
打开系统管理工具的[服务],如图(13):图(13):系统服务WEB+FTP+Email服务器安全配置www.
alixixi.
com更多WEB技术资讯欢迎访问阿里西西WEB开发网站:http://www.
alixixi.
comAlixixiDevelopmentTeam.
QQ:178010108MSN:Alixixi@MSN.
COMEmail:Alixixi@Alixixi.
com第13页共51页可停用的服务列表如下(本操作可能会影响你的计算中相关应用程序的正常使用,请检查没有与下列服务相依赖的应用程序.
):ComputerBrowser维护网络上计算机的最新列表以及提供这个列表Taskscheduler允许程序在指定时间运行RoutingandRemoteAccess在局域网以及广域网环境中为企业提供路由服务Removablestorage管理可移动媒体、驱动程序和库RemoteRegistryService允许远程注册表操作PrintSpooler将文件加载到内存中以便以后打印.
要用打印机的朋友不能禁用这项IPSECPolicyAgent管理IP安全策略以及启动ISAKMP/OakleyIKE)和IP安全驱动程序DistributedLinkTrackingClient当文件在网络域的NTFS卷中移动时发送通知Com+EventSystem提供事件的自动发布到订阅COM组件Alerter通知选定的用户和计算机管理警报ErrorReportingService收集、存储和向Microsoft报告异常应用程序Messenger传输客户端和服务器之间的NETSEND和警报器服务消息Telnet允许远程用户登录到此计算机并运行程序五、IIS和WEB站点文件夹权限配置IIS是微软的组件中漏洞最多的一个,平均两三个月就要出一个漏洞,而微软的IIS默认安装又实在不敢恭维.
首先在D:根目录新建一个wwwroot文件夹,用来做为WEB服务器站点的根目录,里面存放不同网站的文件夹.
例如新建第一个网站存放文件的目录WebSite1,为了杜绝跨站攻击等WEB+FTP+Email服务器安全配置www.
alixixi.
com更多WEB技术资讯欢迎访问阿里西西WEB开发网站:http://www.
alixixi.
comAlixixiDevelopmentTeam.
QQ:178010108MSN:Alixixi@MSN.
COMEmail:Alixixi@Alixixi.
com第14页共51页各种相关安全问题,实现各个虚拟主机目录有独立权限的访问机制,我们要给每个目录分配一个匿名访问的用户帐号.
依次右击桌面我的电脑----->管理------>本地用户与组,然后新建一个用户IISUSER_01,选中用户不能更改密码和密码永不过期,去掉其余两项复选.
如图(14):图(14):新建用户(当然,如果您的WEBSERVER上有50个虚拟主机的话,可以再以同样的方法新增一些用户).
可以给每个新增用户设定个密码,当然,其实为空也无大碍,因为这是用来为IIS匿名访问用户而设的,对系统安全基本不会有影响.
新增用户后因为默认新增用户自动加入Users组内,要分别去除掉它们User组的权限,并重新分别把它们只归属于Guests组,这一步一定要记住了,安全问题很关键.
如图(15):WEB+FTP+Email服务器安全配置www.
alixixi.
com更多WEB技术资讯欢迎访问阿里西西WEB开发网站:http://www.
alixixi.
comAlixixiDevelopmentTeam.
QQ:178010108MSN:Alixixi@MSN.
COMEmail:Alixixi@Alixixi.
com第15页共51页图(15):组权限设置设置完成后,为了方便统一划分WEB站点匿名访问用户的权限,再新建一个用户组,例如为IISUSER_GROUP,把IISUSER_01用户添加到IISUSER_GROUP组内.
如图(16):图(16):新建IIS用户组WEB+FTP+Email服务器安全配置www.
alixixi.
com更多WEB技术资讯欢迎访问阿里西西WEB开发网站:http://www.
alixixi.
comAlixixiDevelopmentTeam.
QQ:178010108MSN:Alixixi@MSN.
COMEmail:Alixixi@Alixixi.
com第16页共51页用户和组设置好后,我们再次打开d盘的wwwroot,右击website1文件夹在属性配置的安全选项里,添加IISUSER_01用户权限(如果是单纯的HTML站点可以只给读取权限即可,如果是ASP+ACESS数据库或需要进行FSO操作的站点,同时还需要加上"写入"权限或一般我们将"完全控制"权给IISUSER_01用户).
如图(17):图(17):文件夹属性如果想进行更严密的安全配置,可以设置IISUSER_01用户在website1目录的权限为读取,在需要更新或写入操作的图片上传目录或数据库目录上才赋予写入权限,这样更为安全.
做完这一步,网站的目录安全性就够了吗不,利用一些FSO等木马一样还可以进行跨站进行读取,虽然跨站后没有权限修改,但比如用海洋顶端的文件夹打包功能,仍能进行跨站浏览系统磁盘及打包操作并下载!
解决的方法是,右击C和D盘符选择属性中的安全选项,添加刚才我们建立的用户组(包含有IISUSER_01或新增的其它WEB网站目录用户),禁止该组的所有操作权限.
WEB+FTP+Email服务器安全配置www.
alixixi.
com更多WEB技术资讯欢迎访问阿里西西WEB开发网站:http://www.
alixixi.
comAlixixiDevelopmentTeam.
QQ:178010108MSN:Alixixi@MSN.
COMEmail:Alixixi@Alixixi.
com第17页共51页(注意子目录继承权限的设置,WebSite1目录不要继承父目录的该权限.
)如图(18):图(18):盘符属性这样一来,每个站点的浏览者(匿名访问用户)也只能对该站目录内文件进行一定的权限操作,即使ASP木马上传到其中一个网站目录,不会对别的站点造成任何影响,更不会对服务器的安全有任何危险.
文件夹安全配置完后,我们下一步将进行IIS的配置.
首先打开IIS管理器—》主目录,为了方便统一管理,将默认站点重命名为WebSite1并将主目录指向D:\wwwroot\WebSite1目录.
如图(19):WEB+FTP+Email服务器安全配置www.
alixixi.
com更多WEB技术资讯欢迎访问阿里西西WEB开发网站:http://www.
alixixi.
comAlixixiDevelopmentTeam.
QQ:178010108MSN:Alixixi@MSN.
COMEmail:Alixixi@Alixixi.
com第18页共51页图(19):IIS站点属性然后点击本窗口的配置按钮进入应用程序配置,在应用程序扩展栏中删除必须之外的任何无用映射,如图(20):图(20):应用程序配置WEB+FTP+Email服务器安全配置www.
alixixi.
com更多WEB技术资讯欢迎访问阿里西西WEB开发网站:http://www.
alixixi.
comAlixixiDevelopmentTeam.
QQ:178010108MSN:Alixixi@MSN.
COMEmail:Alixixi@Alixixi.
com第19页共51页只保留你确实需要用到的文件类型,比如ASP,ASPX,shtml等,一般的WEB服务器应用有了其中两个映射就够了,其它的映射在以往的自由微软漏洞中都发生过太多的安全漏洞事件,不信你可以去查查以前的漏洞列表.
开始把不用的扩展一个个删除掉吧.
配置完这一项,再点击本窗口上方的选项栏,一般在大部分的ASP程序中,我们都会在代码中调用父路径,我们在这一页中勾选中[启用父路径]的复选框,当然如果你确定你的程序不会有调用父路径的代码,最好不要选择此项,安全性会更强一些.
最后,再点击本窗口上方的调试栏,在脚本错误的错误消息选项中,选中[向客户端发送下列文本错误消息]项.
如图(21):图(21):应用程序配置-调试否则ASP脚本出错时,出错信息很可能会向客户端显示你的数据库路径(即黑客常说的暴库),程序代码,结构,参数等重要信息.
为了避免cgi漏洞扫描器扫描到IIS漏洞的安全隐患,在IIS管理面板中将HTTP404ObjectNotFound出错页面通过URL重定向到一个定制HTM文件,我们可以更改C:/WINDOWS/Help/iisHelp/common/404b.
htm内容改为:,或者可在IIS管理面板WEB+FTP+Email服务器安全配置www.
alixixi.
com更多WEB技术资讯欢迎访问阿里西西WEB开发网站:http://www.
alixixi.
comAlixixiDevelopmentTeam.
QQ:178010108MSN:Alixixi@MSN.
COMEmail:Alixixi@Alixixi.
com第20页共51页中的自定义错误栏修改404错误页的HTML文件路径并做相应修改,如图(22):图(22):404错误页重定向最后,我们还要把之前在为该站点建立的匿名用户帐号绑定到此站点的目录安全性中的访问权限来.
打开站点的属性页中的"目录安全性"选项卡,点身份验证和访问控制的"编辑",如图(23):图(23):IIS目录安全性WEB+FTP+Email服务器安全配置www.
alixixi.
com更多WEB技术资讯欢迎访问阿里西西WEB开发网站:http://www.
alixixi.
comAlixixiDevelopmentTeam.
QQ:178010108MSN:Alixixi@MSN.
COMEmail:Alixixi@Alixixi.
com第21页共51页勾选启用匿名访问,并点击该栏的浏览按钮,选择我们之前为此站点(WebSite1)分配的匿名用户帐号IISUSER_01,如图(24):图(24):IIS匿名访问输入该用户的口令,提示再次输入确认密码.
如无则留空即可.
经过设置匿名访问帐号后,"WebSite1"网站的用户,使用ASP的FileSystemObject组件或其它木马程序入侵攻击服务器时,也只能访问"WebSite1"的网站目录:d:\wwwroot\WebSite1下的内容,当试图访问其他内容时,会出现诸如"没有权限"、"硬盘未准备好"、"500服务器内部错误"等出错提示了(曾试过用asp海洋顶端2006木马进行全面测试,对服务器安全不构成任何影响).
如果你的WEB服务器需要放置多个WEB站点,那么最简单的方法就是配置主机头的方法.
在这里以建立两个网站分别为www.
alixixi.
com和www.
ejchina.
com为例.
首先将www.
alixixi.
com和www.
ejchina.
com两个域名的DNS解析到服务器的IP地址.
比如www.
alixixi.
com就存放在上面我们配置的d:\wwwroot\WebSite1目录中,这样我们打开IISWEB+FTP+Email服务器安全配置www.
alixixi.
com更多WEB技术资讯欢迎访问阿里西西WEB开发网站:http://www.
alixixi.
comAlixixiDevelopmentTeam.
QQ:178010108MSN:Alixixi@MSN.
COMEmail:Alixixi@Alixixi.
com第22页共51页管理器,右击WebSite1站点属性.
如图(25):图(25):IIS管理器点击IP地址的高级按钮,修改IP地址的主机头为www.
alixixi.
com.
如图(26):图(26):主机头设置这样,第一个站点就设置成功了,接着我们可以继续添加第二个站点了,以同样的方法,在添加WEB+FTP+Email服务器安全配置www.
alixixi.
com更多WEB技术资讯欢迎访问阿里西西WEB开发网站:http://www.
alixixi.
comAlixixiDevelopmentTeam.
QQ:178010108MSN:Alixixi@MSN.
COMEmail:Alixixi@Alixixi.
com第23页共51页时不用更改TCP/IP的端口,直接设定另一站点的主机头为www.
ejchina.
com就可以完成第二个站点的建立了.
利用主机头方式建立多站点,必须使用友好网址才能访问,同样也可通过IP端口和多IP地址实现多站点,但这里不再详细介绍.
如果需要做泛域名解析,则将该站点设定为空主机头,并在域名DNS建立一个*.
域名.
com解析到服务器IP就可以实现泛域名解析.
最后,别忘了备份IIS的配置,在灾难性系统崩溃或IIS出现重大错误需要重新安装等紧急事故,可以快速的恢复IIS的安全配置,恢复站点的正常运行,备份功能很简单,IIS管理面板的操作工具栏—》所有任务—》进行备份.
如图(27):图(26):备份IIS如想了解更多的备份及相关技术信息,请点击IIS帮助,在IIS6管理员指南中查阅.
以下是摘自管理员指南中的一段相关备份的资料:实际上,配置数据库是指MetaBase.
xml与MBSchema.
xml文件的组合以及驻留内存的配置数据库.
IIS配置信息存储在MetaBase.
xml文件中,而配置数据库架构存储在MBSchema.
xml文件中.
当启动IIS时,这些文件会由存储层读取,然后通过管理基本对象(ABO)写入到内存中的配置数据库中…说到MetaBase.
xml,随便提到一点IIS6常遇到的问题,就是无法上传大文件的问题,IIS6WEB+FTP+Email服务器安全配置www.
alixixi.
com更多WEB技术资讯欢迎访问阿里西西WEB开发网站:http://www.
alixixi.
comAlixixiDevelopmentTeam.
QQ:178010108MSN:Alixixi@MSN.
COMEmail:Alixixi@Alixixi.
com第24页共51页出于安全考虑,默认最大请求200K(也即最大提交数据限额为200KByte,204800Byte).
通常200K的大小是不能满足我们站点的需求的,解决的方法如下:1.
关闭IISAdminService服务2.
打开\Windows\system32\inesrv\metabase.
xml3.
修改ASPMaxRequestEntityAllowed的值为自己需要的,默认为204800,即限制上传文件最大200KB.
4.
启动IISAdminService其实如果你对编程有些了解,仔细查看metabase.
xml文件中的内容,你会发现,很多IIS配置同样可以在里面修改,当然,除非你很熟悉,否则不建议直接修改.
配置到这一步,我们已经成功的配置了一台安全性较高的WEB服务器,但要实现功能强大的应用于internet的服务器,单单仅WEB功能还是不够的,为了日常的文件上传下载及维护管理,我们还要架设功能强大的FTP服务器!
六、FTP服务器安全权限配置FTP服务器端软件采用SERV-U6.
0.
2软件,安装并进行汉化(如果你的e文足够强,汉化就可免了).
这里主要讲SERV-U的安全设置,所以不会花费太多的功夫来介绍安装,只说一下要点.
SERV-U默认是安装在C:\ProgramFiles\Serv-U目录下的,我们最好做一下变动.
安装并汉化完成后,启动主界面.
如图(27):WEB+FTP+Email服务器安全配置www.
alixixi.
com更多WEB技术资讯欢迎访问阿里西西WEB开发网站:http://www.
alixixi.
comAlixixiDevelopmentTeam.
QQ:178010108MSN:Alixixi@MSN.
COMEmail:Alixixi@Alixixi.
com第25页共51页图(27):SERV-U主界面点击"设置/更改密码",因为是第一次使用,所以是没有密码的,也就是说原来的密码为空.
如图(28):图(28):设置更改管理员密码不用在旧密码里输入字符,直接在下面的新密码和重复新密码里输入同样的密码再点OK就可以了.
这里建议设置一个足够复杂的密码,以防止别人暴力破解.
自己记不得也没有关系,只要把ServUDaemon.
ini里的LocalSetupPassword=这一行清除并保存,再次运行WEB+FTP+Email服务器安全配置www.
alixixi.
com更多WEB技术资讯欢迎访问阿里西西WEB开发网站:http://www.
alixixi.
comAlixixiDevelopmentTeam.
QQ:178010108MSN:Alixixi@MSN.
COMEmail:Alixixi@Alixixi.
com第26页共51页ServUAdmin.
exe就不会提示你输入密码登录了.
Serv-U6.
0.
2还是存在有本地提升权限缺陷,ServUAdmin.
exe是ftpserver管理界面,由于ServUAdmin.
exe对异常的不正确处理,导致在Serv-U被注册为系统服务的情况下,本地普通用户进行权限提升,得到超级用户的权限.
远程用普通用户权限,可以通过3389登陆的也可以进行提升.
要解决这个问题需要给程序动一下手术.
serv-u默认管理账号是LocalAdministrator,默认密码是"#l@$ak#.
lk;0@P",这个密码在同一个版本中是固定的,也许在不同的版本中也是固定的.
我们找来Ultraedit,开始动手术.
用Ultraedit打开ServUDaemon.
exe查找Ascii:LocalAdministrator,把默认的管理员帐号改成其它同长度的字符串就可以了.
#l@$ak#.
lk;0@P的意思是指空密码,这个可以不用改动,ServUAdmin.
exe也一样处理即可.
做完上面这一步,同时还要注意设置Serv-U安装目录的权限,不要让IIS匿名用户有读取的权限,否则别人下载走这两个文件,一样可以分析出你的管理员名和密码.

下面开始对SERV-U进行安全设置.
首先建立一个WINDOWS系统账号ServFTP,密码也需要足够的复杂.
密码要记住,配置系统服务启动权限时还要用到.
如图(29):图(29):新增FTP访问帐号建好账号以后,双击建好的用户编辑用户属性,从"隶属于"里删除USERS组.
如图(30):WEB+FTP+Email服务器安全配置www.
alixixi.
com更多WEB技术资讯欢迎访问阿里西西WEB开发网站:http://www.
alixixi.
comAlixixiDevelopmentTeam.
QQ:178010108MSN:Alixixi@MSN.
COMEmail:Alixixi@Alixixi.
com第27页共51页图(30):FTP组权限设置这里我们已经建好了账号.
现在就要用到刚才建立的这个账号.
打开管理工具中的服务.
在"Serv-UFTPServer服务"上右击选择属性继续.
如图(31):图(31):服务启动权限WEB+FTP+Email服务器安全配置www.
alixixi.
com更多WEB技术资讯欢迎访问阿里西西WEB开发网站:http://www.
alixixi.
comAlixixiDevelopmentTeam.
QQ:178010108MSN:Alixixi@MSN.
COMEmail:Alixixi@Alixixi.
com第28页共51页然后点击"登录"进入登录账号选择界面.
选择刚才建立的系统账号名,并在下面重复输入2次该账号的密码,然后点"应用",再次点确定,完成服务的设置.
如图(32):图(32):服务启动帐号接下来要先使用FTP管理工具建立一个域,再建立一个账号,建好后选择保存在注册表.
如图(33):图(33):FTP帐号设置WEB+FTP+Email服务器安全配置www.
alixixi.
com更多WEB技术资讯欢迎访问阿里西西WEB开发网站:http://www.
alixixi.
comAlixixiDevelopmentTeam.
QQ:178010108MSN:Alixixi@MSN.
COMEmail:Alixixi@Alixixi.
com第29页共51页接着,打开注册表来设置相应的权限,否则SERV-U是没办法启动的.
在开始->运行里输入regedt32点"确定"继续.
找到[HKEY_LOCAL_MACHINE\SOFTWARE\CatSoft]分支.
在上面点右键,选择权限,然后点高级,取消[允许父项的继承权限传播到该对象和所有子对象,包括那些在此明确定义的项目]选项,点击"应用"继续,接着删除所有的账号.
接着点击添加按钮增加系统管理员Administrator帐号和我们建立的ServFTP账号到该子键的权限列表里,并给予完全控制权限.
如图(34):图(34):注册表权限到这里注册表已经设置完了.
接着再进行安装目录的权限设置.
现在就来设置一下,只保留你的系统管理员账号和ServFTP账号,并给予ServFTP帐号除了完全控制外的所有权限.
如图(35):WEB+FTP+Email服务器安全配置www.
alixixi.
com更多WEB技术资讯欢迎访问阿里西西WEB开发网站:http://www.
alixixi.
comAlixixiDevelopmentTeam.
QQ:178010108MSN:Alixixi@MSN.
COMEmail:Alixixi@Alixixi.
com第30页共51页图(35):安装目录权限现在,打开管理工具的服务,重启Serv-UFTPServer服务就可以正常启动了.
当然,到这里还没有完全设置完,你的FTP用户因为没有权限还是登录不了的,所以还要设置一下FTP目录的权限.
我们的第一个网站目录是在d:\wwwroot\WebSite1.
那么在这个目录的"安全"里除了Administrator管理员帐号和IIS用户,别的都删除掉,再加入ServFTP账号,切记SYSTEM账号也删除掉.
如图(36):WEB+FTP+Email服务器安全配置www.
alixixi.
com更多WEB技术资讯欢迎访问阿里西西WEB开发网站:http://www.
alixixi.
comAlixixiDevelopmentTeam.
QQ:178010108MSN:Alixixi@MSN.
COMEmail:Alixixi@Alixixi.
com第31页共51页图(36):安装目录权限为什么要这样设置呢因为现在已经是用ServFTP账号启动的SERV-U,而不是用SYSTEM权限启动的了,所以访问目录不再是用SYSTEM而是用ServFTP,此时SYSTEM已经没有用了,这样就算真的溢出也不可能得到SYSTEM权限.
另外,d:\wwwroot目录还要设置允许ServFTP账号的浏览和读取权限.
接着,我们在Serv-U域中建立一个FTP访问用户,按提示输入FTP用户名(例如:WebSite1_User1)和密码,接着选择d:\wwwroot\WebSite1目录做为该用户的访问初始主目录,下一步,选择锁定用户于主目录,如图(37):WEB+FTP+Email服务器安全配置www.
alixixi.
com更多WEB技术资讯欢迎访问阿里西西WEB开发网站:http://www.
alixixi.
comAlixixiDevelopmentTeam.
QQ:178010108MSN:Alixixi@MSN.
COMEmail:Alixixi@Alixixi.
com第32页共51页图(37):锁定用户于主目录点击完成.
这样在Serv-U域的用户栏中就出现了刚才WebSite1_User1用户,点击该用户,右侧出现相关FTP帐户的配置.
如图(38):图(38):FTP帐户的配置帐号页可以设置什么时候自动锁定该用户,通常用于收费的虚拟主机用户管理.
我想很多虚拟主机管理软件也是通过调用相关的配置文件进行FTP用户帐户管理的.
通常这一页面不需要更改.
在常规页可进行限制用户的上传下载速度,连接数,用户数等,比如限制同一IP的登数,可以限WEB+FTP+Email服务器安全配置www.
alixixi.
com更多WEB技术资讯欢迎访问阿里西西WEB开发网站:http://www.
alixixi.
comAlixixiDevelopmentTeam.
QQ:178010108MSN:Alixixi@MSN.
COMEmail:Alixixi@Alixixi.
com第33页共51页制一个用户同时下载的线程,适当的配置可减少服务器的承载.
如图(39):图(39):FTP帐户常规配置在目录访问选项卡中,可以配置FTP帐户的读写目录权限,除了执行功能,通常应用于WEB目录管理全部开放.
如图(40):图(40):FTP帐户目录访问权限WEB+FTP+Email服务器安全配置www.
alixixi.
com更多WEB技术资讯欢迎访问阿里西西WEB开发网站:http://www.
alixixi.
comAlixixiDevelopmentTeam.
QQ:178010108MSN:Alixixi@MSN.
COMEmail:Alixixi@Alixixi.
com第34页共51页IP访问和上传/下载率跟据你的需求自己定制,一般默认即可.
功能比较有用的是配额功能,通常应用于虚拟主机的空间大小限制和管理.
如图(41):图(41):FTP配额功能另外,一般情况下禁止对FTP服务的匿名访问,如果允许对FTP服务做匿名访问,该匿名帐户就有可能被利用来获取更多的信息,以致对系统造成危害.
至此,FTP服务器设置全部结束.
服务器上的FTP服务器主要是为WEB(IIS)服务器做文件管理和维护使用,经过这样的配置,FTP与IIS使用不同的访问账号,WEB访问用户不管通过FSO或木马,都不可能访问SERV-U的安装目录,并且WEB站点目录(d:\wwwroot\WebSite1)没有给予SYSTEM权限,所以SYSTEM账号也同样访问不了WEB目录,比如说,即使使用MSSQL得到备份的权限,拥有了SYSTEM的权限,也不能备份SHELL到你的WEB目录进行利用.
从现在开始,你可以安全的使用SERV-U了.
WEB+FTP+Email服务器安全配置www.
alixixi.
com更多WEB技术资讯欢迎访问阿里西西WEB开发网站:http://www.
alixixi.
comAlixixiDevelopmentTeam.
QQ:178010108MSN:Alixixi@MSN.
COMEmail:Alixixi@Alixixi.
com第35页共51页七、Email服务器安全权限配置FTP服务器终于配置完成,还有EMAIL服务器需要进行配置.
关于邮件服务器配置,我选用了MDaemon8.
05版本,在这里介绍一下MDaemon邮局的简单安装和基本设置.
(一)安装MDaemon下载后,关闭机器上其它应用程序,运行installation直到注册信息界面.
注册信息,如图(42):图(42):注册信息在这里,键入用户名称、公司名字和系列号,如果没有系列号可以不填,安装程序会自动生成一个30天有效的验证码,然后点击"Next".
(二)准备安装!
这里没有选项,只要点击"Next",MDaemon文件将copy到你的硬盘上,将占用几分钟时间.
输入你的域名,如图(43):图(43):输入域名WEB+FTP+Email服务器安全配置www.
alixixi.
com更多WEB技术资讯欢迎访问阿里西西WEB开发网站:http://www.
alixixi.
comAlixixiDevelopmentTeam.
QQ:178010108MSN:Alixixi@MSN.
COMEmail:Alixixi@Alixixi.
com第36页共51页在这里要填写你的主域名,当然,安装完成后你还可以继续添加多个域名.
在这里,我输入alixixi.
com(不要输入www前缀),然后点击"Next".
接着建立第一个帐户,如图(44):图(44):建立帐户这一步建议你输入一个负责管理MDaemon服务器的帐户名,这个账户将成为"postmaster"具有所有管理权限.
注意,密码是强密码方式,必须包括大小写字母和数字、长度至少为6位.
进入到DNS配置,如图(45):图(45):DNS配置选择"UseWindowsDNSsettings",但是如果你有自己的ISP的DNS,在这里输入它的IP地址.
假如只有一个主DNS设置,它也可以正常使用,如果有备份DNS,最好也要填写.
接着是操作界面模式选择,如图(46):WEB+FTP+Email服务器安全配置www.
alixixi.
com更多WEB技术资讯欢迎访问阿里西西WEB开发网站:http://www.
alixixi.
comAlixixiDevelopmentTeam.
QQ:178010108MSN:Alixixi@MSN.
COMEmail:Alixixi@Alixixi.
com第37页共51页图(46):操作界面模式建议在服务器运行前选择"RunMDaemonin'Easy'mode",运行MDaemon之后,改变模式是很简单的,当然,如果你想全面的体验MDzemon强大的管理功能,也可以选择Adv高级模式,这里点击"Next".
建立系统服务,让邮件服务在系统启动时自动运行,如图(47):图(47):系统服务方式运行激活这个选项.
作为服务器,MDaemon即使没有用户登录在也要在后台运行.
这非常重要,因为你的MDaemon始终保持运行,你的用户才能在他们需要的时候接收到邮件,点击"Next"安装完成!
如图(48):WEB+FTP+Email服务器安全配置www.
alixixi.
com更多WEB技术资讯欢迎访问阿里西西WEB开发网站:http://www.
alixixi.
comAlixixiDevelopmentTeam.
QQ:178010108MSN:Alixixi@MSN.
COMEmail:Alixixi@Alixixi.
com第38页共51页图(48):安装完成点击"Finish"完成安装,然后启动MDaemon,假如需要重启,你将被提示.
(三)安装MDaemon服务器后的配置完成了MDaemon的安装,你的MDaemon服务器会自动启动,然后最小化,在时钟边上出现一个白色信封标志.
(四)打开并设置MDaemon邮件系统双击白色信封,打开MDaemon服务器.
下面是你成功地建立邮件服务器需要完成的最后步骤:1、为你的用户建立新的账号2、配置拨号ISP(使用路由则不需要)3、配置邮件系统的DomainPOP(只在你的ISP传输所有的邮件到你的域的收集邮件的域POP3账户时进行)4、配置用户的客户端PC使用MDaemon收发邮件这里,我们要先建立新帐户,如图(49):WEB+FTP+Email服务器安全配置www.
alixixi.
com更多WEB技术资讯欢迎访问阿里西西WEB开发网站:http://www.
alixixi.
comAlixixiDevelopmentTeam.
QQ:178010108MSN:Alixixi@MSN.
COMEmail:Alixixi@Alixixi.
com第39页共51页图(49):新增邮件帐户对于每一个email用户,都需要在MDaemon上建立账户.
选择"Account"菜单下"AccountManager",可以看到两个账户列表.
一个是MDaemon系统账户,你可以忽略.
另一个是你在安装时建立的账户.
添加新的账户,点击"New"按钮后将看到下面的界面:输入用户的"Fullname"、"Mailboxname"和他们的"Accountpassword".
默认情况下密码需要强密码,包括大小写字母和数字,至少6位.
你将注意到当你键入你的名字时,MDaemon将会自动使用你的名字建立,你也可以在你建立账户的时候直接输入你的邮箱名.
(四)安装配置MDaemon完成你现在拥有一个配置完整的MDaemon邮件服务器.
下一步需要在你的用户主机上配置和测试一个邮件用户.
(五)MDaemon其它技巧1、多域名邮箱设置确保已建立好了第一个邮件服务器然后照以下步骤设置.
WEB+FTP+Email服务器安全配置www.
alixixi.
com更多WEB技术资讯欢迎访问阿里西西WEB开发网站:http://www.
alixixi.
comAlixixiDevelopmentTeam.
QQ:178010108MSN:Alixixi@MSN.
COMEmail:Alixixi@Alixixi.
com第40页共51页1)进入MD管理器(即MD的MessageRouter)2)选SETUP菜单中的SecondaryDomain3)在相应文字框中输入域名和IP地址(同主IP一样)4)在左边框架中即可看到新建立好的邮件服务器,再添加帐号2、让WorldClient运行在IIS6上MDaemon正确安装后,可以通过Web进行访问,访问的方式是域名+默认端口3000,如http://www.
alixixi.
com:3000,端口及WorldClient相关的配置可以MDaemon高级管理界面进行修改,如图(50):图(50):WorldClient配置WEB+FTP+Email服务器安全配置www.
alixixi.
com更多WEB技术资讯欢迎访问阿里西西WEB开发网站:http://www.
alixixi.
comAlixixiDevelopmentTeam.
QQ:178010108MSN:Alixixi@MSN.
COMEmail:Alixixi@Alixixi.
com第41页共51页图(51):WorldClient配置下面我们开始讲解如何让WorldClient运行在IIS6上的详细步骤.
(1)打开IIS管理器,并且切换到WEB服务扩展,选择允许未知的ISAPI扩展.
如图(52):图(52):开启ISAPI扩展WEB+FTP+Email服务器安全配置www.
alixixi.
com更多WEB技术资讯欢迎访问阿里西西WEB开发网站:http://www.
alixixi.
comAlixixiDevelopmentTeam.
QQ:178010108MSN:Alixixi@MSN.
COMEmail:Alixixi@Alixixi.
com第42页共51页设置其为允许,这样worldclient.
dll才能被IIS6所执行.
然后,我们为这个WEB邮局在IIS中新建一个站点,这里命名为MailServer,并绑定mail.
alixixi.
com主机头.
如图(53):图(53):EMail主机头接着点下一步,选择主目录路径,这里我们选择MDaemon系统的WorldClient的所在目录,一般为C:\MDaemon\WorldClient\HTML\,如图(54):图(54):主目录设置WEB+FTP+Email服务器安全配置www.
alixixi.
com更多WEB技术资讯欢迎访问阿里西西WEB开发网站:http://www.
alixixi.
comAlixixiDevelopmentTeam.
QQ:178010108MSN:Alixixi@MSN.
COMEmail:Alixixi@Alixixi.
com第43页共51页允许匿名访问网站,接着下一步,允许读取,运行脚本,执行ISAPI或CGI操作.
如图(55):图(55):IIS访问权限设置点击下一步,选择完成.
接下来,我们要进入这个站点的属性来配置其它设置.
打开IIS管理器,进入刚才我们建立的mail.
alixixi.
com站点属性,弹出属性窗口后,选择[文档]选项卡,在[启用默认文档内容]中添加WorldClient的运行文件"worldclient.
dll",可以把别的文档名全部删除掉,然后点击应用,这样网站的默认首页就是worldclient.
dll了.
为了安全起见,我们还要进行邮件系统WEB站点和邮件目录的安全配置.
回顾一下前面WEB站点主机的方法这一步应该很容易就能够完成.
这里,我们假设要架设两个域名的邮件服务,那么我们添加两个本地用户帐号IISMAIL_ALIXIXI和IISMAIL_EJCHINA,并分别设置密码,依照上面我们讲到的WEB匿名用户的配置方法,把两个用户从User组去掉,并加入Guest用户组,再把它们归属于之前建立的IISUSER_GROUP匿名访问组.
在这里,为了更好的管理虚拟主机和邮件系统的匿名帐号,我们再新增一个邮件系统帐号专用组:IISMAIL_GROUP,把IISMAIL_ALIXIXI和WEB+FTP+Email服务器安全配置www.
alixixi.
com更多WEB技术资讯欢迎访问阿里西西WEB开发网站:http://www.
alixixi.
comAlixixiDevelopmentTeam.
QQ:178010108MSN:Alixixi@MSN.
COMEmail:Alixixi@Alixixi.
com第44页共51页IISMAIL_EJCHINA帐号加入到组内.
用户帐号添加完毕,接着再把这两个帐号分别绑定到IIS的站点目录(和之前的WEB站点配置一样).
右击进入mail.
alixixi.
com站点属性的目录安全性,在匿名访问用户选中刚才建立的IISMAIL_ALIXIXI用户,并输入密码即可,如图(56):图(56):IIS匿名访问权限设置以此类推,在新增mail.
ejchina.
com邮件系统时,也用同时的方法添加用户和绑定到目录安全性就可以了.
到这里,配置并未完成,我们还要设置MDaemon安装目录下的WorldClient目录,这是Web邮局的根目录,所以,我们还要赋予IISMAIL_GROUP邮件匿名帐号专用组有读取和写入的权限.
如图(57):WEB+FTP+Email服务器安全配置www.
alixixi.
com更多WEB技术资讯欢迎访问阿里西西WEB开发网站:http://www.
alixixi.
comAlixixiDevelopmentTeam.
QQ:178010108MSN:Alixixi@MSN.
COMEmail:Alixixi@Alixixi.
com第45页共51页图(57):文件目录权限设置接着,再打开Users目录,里面是专门存放MDaemon系统自动建立的邮件帐户的数据文件夹,我们还要赋予相对应的用户给予读取和写入的权限,右击alixixi.
com,我们只要给IISMAIL_ALIXIXI用户具有读取和写入的所有权限就可以了,这样就可以有效的杜绝出现别的帐号用户利用任何漏洞跨站盗取资料的可能,只能所有@alixixi.
com的邮件帐号和SYSTEM才有权限进行该目录的读写操作.
ejchina.
com目录照此方法配置.
如图(58):图(58):邮件目录权限设置WEB+FTP+Email服务器安全配置www.
alixixi.
com更多WEB技术资讯欢迎访问阿里西西WEB开发网站:http://www.
alixixi.
comAlixixiDevelopmentTeam.
QQ:178010108MSN:Alixixi@MSN.
COMEmail:Alixixi@Alixixi.
com第46页共51页这样,我们的EMAIL系统相对来说,就安全多了.
最后,我们打开MDaemon的高级管理界面(如果你一开始选择了简易管理界面,可以在File菜单中选择SwitchtoAdv…进入到高级管理界面,需要重启MDaemon)的Setup菜单中的WorldClient.
.
项,勾选中WorldClientisrunningunderIIS即可,也可以在这时设置一些参数,比如Session的存活时长等等.
如图(59):图(59):WorldClient设置由于MDaemon默认的语言是英文,我们可以更改成中文,系统本身就带有中文语言支持.

打开上图页面的Options选项卡,在Language栏中选择zh(Chinaese)就可以支持web界面的中文了.
在Theme栏提供了五种不同风格的WEBMail界面,你可以尝试切换看看,选择自己喜欢的风格样式,当然,如果你对网页编程有一定了解,完全可以自己DIY一个更漂亮的模板界面出来.
点击确定,重启一下MDaemon和IIS系统.
这时,我们可以直接在IE地址栏输入WEB+FTP+Email服务器安全配置www.
alixixi.
com更多WEB技术资讯欢迎访问阿里西西WEB开发网站:http://www.
alixixi.
comAlixixiDevelopmentTeam.
QQ:178010108MSN:Alixixi@MSN.
COMEmail:Alixixi@Alixixi.
com第47页共51页http://mail.
alixixi.
com就可以访问到MDaemon邮局的首页了(前提mail.
alixixi.
com已经做好了域名DNS的正确解析).
到这里,我们的EMAIL服务系统就配置完成了.
八、远程管理软件配置WEB、FTP、EMAIL三大块都已经配置完毕,别忘了,服务器主机是拿去托管在机房的,托管后一般情况下只能远程进行管理和维护,所以远程管理软件是少不了的.
虽然通过系统自带的远程桌面MSTSC可远程登陆维护,但个人发现,以远程桌面登陆后,在任务管理器中发现远程桌面帐号是以独立的新的管理员帐号和进程进行登陆的,在运行某些程序时会产生一定的权限问题和冲突,就比如MDaemon在远程登后无法通过StartMDaemon开启管理界面.
个人觉得再安装个PcanyWhere是很有必要的,我安装了11.
5的版本.
安装完成后,添加被控端,在被控端属性中,设置为与WINDOWS一起启动,在保护项目栏,勾选查看属性时需要密码,并输入强类型的密码.
登陆密码不要采用与操作系统的一样的帐号,另外建立一个PcanyWhere登陆专用的长用户名和密码,这样即使PcanyWhere的帐号被别人利用,也不能取得服务器的控制权,为什么下面是我的方法:为了便于日常的服务器重启或开关机维护,虽然机房技术人员号称24小时全天候免费开关机重启等维护服务,但我觉得依赖于他们不是最理想的办法,那怎么办可以设置为系统自动登陆,登陆后立即锁定计算机!
我想应该能很容易实现得到,用不了多久在百度上就找到方法:设置WINDOWS2003自动登陆,依次点击开始菜单中的运行输入:Rundll32netplwiz.
dll,UsersRunDllWEB+FTP+Email服务器安全配置www.
alixixi.
com更多WEB技术资讯欢迎访问阿里西西WEB开发网站:http://www.
alixixi.
comAlixixiDevelopmentTeam.
QQ:178010108MSN:Alixixi@MSN.
COMEmail:Alixixi@Alixixi.
com第48页共51页弹出用户帐户管理窗口,把[要登陆本机,用户必须输入用户名和密码]设为未选中,如图(60):图(60):用户帐号设置然后点击确定,输入用以系统自动登陆的管理员帐号和密码,确定退出.
如图(61):图(61):自动登陆这样,以后无论重新启动或关开机都不会再用输入用户名和密码直接登陆了.
这样看起来很不安全,不是不相信机房不会有人去动你的机器,呵呵,再加个保险总是个好事.
所以我们还要设置开机后自动锁定.
我们在C盘任意位置建立一个.
bat批处理文件,编辑为以下内容:Rundll32.
exeuser32.
dll,LockWorkStationWEB+FTP+Email服务器安全配置www.
alixixi.
com更多WEB技术资讯欢迎访问阿里西西WEB开发网站:http://www.
alixixi.
comAlixixiDevelopmentTeam.
QQ:178010108MSN:Alixixi@MSN.
COMEmail:Alixixi@Alixixi.
com第49页共51页然后保存并关闭文件,接着把复制或剪切到系统开始菜单》程序》启动里,让它在系统启动时直接运行锁定功能.
这样,服务器在重启或者关开机、远程通过PcanyWhere或远程桌面登陆后,就会多出一道安全防线了.
九、其它安全配置建议至此,全部的服务器配置都已经完成,可以放心的拿到机房上架了:)最后,再附上服务器安全方面一些杂碎但又须注意的事项和心得:1、cacls.
exe,很多时候都成为被黑客利用的对象,建议设置它的权限为拒绝任何人访问,一般我们都不会使用它.
2、把下列几个程序设置成只允许改名后的administrator访问net.
exe,cmd.
exe,ftp.
exe,tftp.
exe,telnet.
exe.
3、FTP服务尽量不要允许匿名访问,因为这样很有可能被利用来获取更多的信息,以致对系统造成危害.
4、个人认为配置好服务器后有必要进行的安全检测和调试:a.
X-SCAN安全扫描,现在最新的版本是3.
3,操作非常简单,建议进行安全扫描服务器本地得出报告后,做相应的安全防范处理.
b.
虚拟空间用ASP探针程序检测,看看通过探针程序会暴露出多少自己服务器的安全隐患信息,比如磁盘盘符的大小信息,系统帐号等,如果发现安全隐患信息被探针显示出来,那么证明你的安全配置没有做好!
推荐使用阿江的最新版本探针或COCOONASP探针.
c.
建议在两个不同的虚拟主机目录放置海洋顶端2006ASP木马进行FSO文件操作和跨站操作及木马本身提供的相关功能进行入侵的安全测试(先把杀毒软件关闭,呵呵,要不你上传不了),WEB+FTP+Email服务器安全配置www.
alixixi.
com更多WEB技术资讯欢迎访问阿里西西WEB开发网站:http://www.
alixixi.
comAlixixiDevelopmentTeam.
QQ:178010108MSN:Alixixi@MSN.
COMEmail:Alixixi@Alixixi.
com第50页共51页看看你是虚拟目录是否存在有可被利用的漏洞或隐患,尤其注意相关SHELL运行权限和文件打包功能.
如果你的安全做得很好,即便是木马有本事绕过杀毒软件上传到了这个虚拟空间,也不会对服务器或别的网站造成影响.
因为有些虚拟空间用户的确不是很"老实":).
d.
要经常留意和检查系统日志、杀毒软件监控日志、防火墙日志等相关安全方面的日志记录.
一旦发现某一个IP地址的入侵情况严重或某个虚拟空间的上传病毒日志记录过多等等,就必须要采取措施来处理这些情况,比如更改终端端口,把入侵IP加入黑名单,加强问题虚拟空间客户的警惕性等等.
5.
安全配置要达到的目的就是:a.
不让入侵者扫描到主机弱点b.
即使扫描到了也不能上传文件c.
即使上传文件了不能操作其他目录的文件d.
即使操作了其他目录的文件也不能执行shelle.
即使执行了shell也不能添加用户f.
即使添加用户了也不能登陆图形终端g.
即使登陆了图形终端.
拥有系统控制权.
他的所作所为还是会被记录下来.